Contact-Tracer hatten noch monatelang Zugriff
Zürich pfuschte beim Datenschutz

Im Kanton Zürich wurde der Datenschutz grob vernachlässigt. Hunderte entlassene Contact-Tracer hatten noch Monate nach ihrer Entlassung Zugriff auf sensible Daten.
Publiziert: 11.07.2022 um 13:43 Uhr
1/5
JDMT ist die Firma, die für den Kanton Zürich und später auch für die Kantone Thurgau und Schwyz das Contact-Tracing durchführte.
Foto: keystone-sda.ch

Rund 950'000 Datensätze von Zürcherinnen und Zürchern hat die Firma JMDT über das Corona-Contact-Tracing gesammelt. Alle, die je positiv auf das Virus getestet wurde, sind in dem System mit Namen, Adresse, Telefonnummer, E-Mail und Ansteckungsdatum festgehalten. In gewissen Fällen kommen auch noch Symptome, Vorerkrankungen, Kontaktpersonen und Ansteckungsort dazu.

Ende März hat die Firma das Contact-Tracing beendet und folglich die meisten Angestellten aus dem Dienst entlassen. Allerdings hatten sie es versäumt, deren Benutzeraccounts zu sperren, wie Recherchen des «Tagesanzeiger» ergaben. Ende Juni waren die Nutzerkonten von über 600 Contact-Tracern immer noch nicht gesperrt.

Datenschützer ist schockiert

Als «übel» und «schweren organisatorischen Mangel» bezeichnet Sven Fassbender, Spezialist für Informationssicherheit und Mitgründer der Beratungsfirma ZFT, den Vorfall gegenüber dem «Tages-Anzeiger». Beim Austritt von Mitarbeitenden müssten deren Konten deaktiviert werden. Fassbender hatte auch schon bei Swisstransplant und der Online-Plattform meineimpfungen.ch Datenschutz-Lecks aufgedeckt.

Insbesondere problematisch sei in diesem Fall, dass der Zugriff auf die Datenbank mittels nicht-personalisierter Logins möglich war. «Nicht personalisierte Logins sind für eine solche Datenbank grundsätzlich nicht in Ordnung», so der Datenschutzexperte. Ein Unternehmen müsse nachverfolgen können, wer wann welche Änderungen im System vorgenommen habe.

Konten nun deaktiviert

Die Gesundheitsdirektion Zürich bestätigt auf Nachfrage des «Tagesanzeiger» die Datenschutzpanne. Der Kanton stellte den Fehler erst aufgrund der Recherchen fest. Mittlerweile seien die Konten aber deaktiviert worden, sagt Beat Lauper, Zuständiger fürs Contact-Tracing. Und ergänzt: «Wir bedauern diesen Fehler.» JDMT bezog zu dem Vorfall keine Stellung.

Gemäss Lauper wisse man bisher von keinem Datenmissbrauch. Ausserdem hätten die Mitarbeitenden jeweils eine Datenschutzerklärung unterschreiben müssen, um Zugriff auf das System zu erhalten. Allerdings sagt ein ehemaliger Angestellter der Firma, er habe eine solche nie unterzeichnet. Auch andere Sicherheitschecks waren ihm gemäss «Tagesanzeiger» nicht bekannt.

Keine Sicherheitschecks

Auch dies findet Fassbender problematisch. In vielen grossen Unternehmen wie Banken oder bei grossen Gesundheitsanbietern gehöre ein Strafregister- und einen Betreibungsregisterauszug zum Bewerbungsdossier dazu, bevor Mitarbeiter auf sensible Daten zugreifen können.

Aus den Daten Profit zu schlagen oder Schaden anzurichten, sei ein Leichtes, so Fassbender. Besonders, wenn man den hohen Marktwert von Gesundheitsdaten berücksichtige.

Ob JDMT weiterhin für das Contact-Tracing verpflichtet wird, ist noch offen. (lm)

Fehler gefunden? Jetzt melden
Was sagst du dazu?